Управление рисками при внедрении системы Identity Management как комплексного решения

Вячеслав Петрухин, консультант отдела IdM-решений компании "Инфосистемы Джет"

Инструмент администратора

Существуют два основных подхода к внедрению систем Identity Management. В первом случае целью создания IdM-системы является внедрение инструмента администратора – средства управления учетными записями и правами доступа в информационных системах. Остальные возможности, предоставляемые подходом Identity Management, остаются "за кадром". Среди них: автоматизация бизнес-процессов управления доступом, переход на ролевую модель управления доступом, расширенный аудит доступа сотрудников организации к бизнес-приложениям. У такого подхода, несмотря на очевидные минусы (не используются все возможности IdM), есть и плюсы: внедрение IdM в таком функционале гораздо менее трудоемко, практически не затрагивает существующие бизнес-процессы, а значит, не находит значительного инертного сопротивления.

Комплексное решение

Второй подход к созданию IdM-системы – создание комплексного решения, которое значительно изменит существующие бизнес-процессы организации и предоставит дополнительные возможности, о которых есть смысл рассказать подробнее. Возможности IdM-систем включают не только собственно управление учетными записями в целевых системах, но и различные механизмы описания и разработки процессов управления (workflow), которые могут включать взаимодействие с целевыми системами и запускаться при наступлении определенных условий. Например, процесс создания учетных записей может автоматически запускаться после приема на работу нового сотрудника и внесения информации о нем в HR-систему.

При переводе сотрудника на новую должность, увольнении и предоставлении отпуска будут запускаться другие процессы, автоматически изменяющие права доступа, блокирующие или удаляющие учетные записи. Совместно с другой возможностью систем Identity Management – согласующим документооборотом – это позволяет полностью переработать управление доступом в организации: отказаться от бумажных заявок и обходных листов, сократить время на предоставление/отъем доступа, исключить риск человеческих ошибок, которые неизбежны при "ручном" администрировании целевых систем.

Еще одно значительное преимущество, которое доступно при создании комплексного решения Identity Management, – переход на ролевую модель управления доступом в рамках целой организации. При этом права доступа пользователей в целевых системах группируются в роли, которые могут быть привязаны к таким формальным критериям, как должность сотрудника и подразделение, в котором он числится, и могут быть назначены автоматически благодаря взаимодействию IdM и HR-систем.

IdM-решения большинства вендоров предоставляют пользовательский интерфейс, с помощью которого можно делегировать некоторые функции обслуживания учетных записей самому пользователю – изменение и восстановление пароля, запрос дополнительной роли (прав доступа), изменения информации пользователя.

Отдельно стоит упомянуть функции, связанные с минимизацией рисков информационной безопасности. В первую очередь – возможность автоматической сверки реально существующих прав доступа в целевых системах с правами, наличие которых у сотрудника было согласовано в системе Identity Management и которые полагаются ему согласно ролевой модели. В случае расхождения некорректные права доступа могут быть удалены, учетная запись заблокирована, а сотрудник информационной безопасности будет оповещен письмом о данном инциденте.

Функции аудита и построения отчетов позволяют моментально получить доступ к информации об актуальных правах доступа сотрудников, например сформировать список всех сотрудников, имеющих определенные права в какой-либо системе или список целевых систем и прав, к которым есть доступ у какого-либо сотрудника. Благодаря возможности получить ту же информацию "в динамике" - исторический отчет, в котором содержатся данные о том, когда какие права доступа были предоставлены, кем это было согласовано - IdM-система становится важным средством для расследования и предотвращения инцидентов по несанк-ционированному доступу к данным.

Риски создания комплексного решения

Как видно из описания комплексного решения Identity Management, для создания системы, реализующей в полном объеме все данные функции, необходимо провести большую подготовительную работу. В первую очередь - детализацию и анализ требований к системе. Поскольку функционал создаваемой системы напрямую затрагивает работу как подразделений IT и ИБ, так и работу бизнес-подразделений, то детализация и согласование требований по всем функциям может занять значительное время. Для организации с численностью сотрудников 3-7 тыс. этот процесс занимает несколько месяцев. Реализация же всех требований - разработка бизнес-процессов, адаптация функционала и интерфейса системы, формирование ролевой модели в рамках одного проекта - приводит к тому, что его длительность может достигать от одного до двух лет.

Поскольку текущая ситуация на рынке далека от стабильности и всем организациям необходимо постоянно меняться и перестраивать бизнес-процессы для достижения максимальной эффективности, то становится очевиден основной риск подобных проектов: требования к системе могут устаревать еще до окончания процесса их анализа, не говоря уже о стадии перевода системы в промышленную эксплуатацию. Реализация же устаревших требований приводит к появлению ненужного инструмента, которым в текущей ситуации невозможно пользоваться. Два других риска являются следствиями первого - устаревшие данные нуждаются в актуализации, а повторная работа по выявлению требований значительно увеличит сроки проекта и его бюджет. Ситуация может показаться совсем безнадежной, если несоответствие требований к IdM-системе текущим потребностям организации было выявлено, когда значительная часть требований уже была реализована.

Отдельно стоит упомянуть риск, связанный с большим объемом внутренних изменений в организации, которые необходимо провести, чтобы внедряемая система начала действительно работать. Стоит учитывать, что организация, как любая система, сопротивляется изменениям, и чем их больше, тем сильнее это сопротивление. Кроме того, необходимо ввести в действие новые регламенты и приказы, обучить сотрудников работе с новой системой.

Исключение и минимизация рисков

Предотвратить возникновение подобных ситуаций может учет перечисленных выше рисков еще на этапе формирования требований к системе и правильное планирование проекта, учитывающее специфику IdM-тематики.

Прежде всего следует признать планы по реализации всего функционала IdM в рамках единого проекта в значительной степени утопичными. Далее следует разделить требования на группы по принципу последовательности их реализации и связи друг с другом.

Основываясь на данных группах, можно сформировать план поэтапного внедрения системы IdM. В общем случае организация проекта должна отвечать следующим требованиям:

• разделение функционала Identity Management на блоки и последовательная реализация одного такого блока функций в рамках одного этапа;
• каждый этап завершается переводом в промышленную эксплуатацию блока функций, реализованных на данном этапе;
• каждый последующий этап не является обязательным и может рассматриваться как развитие системы.

Рассмотрим, чем продиктованы данные требования. Во-первых, блоки смежных и последовательно реализуемых функций избавляют нас от необходимости детализации требований по всему функционалу IdM-системы, предпроект-ное обследование будет ограничено задачами, реализация которых запланирована на данный этап. Следовательно, вероятность устаревания требований к системе незначительна. Конечно, риски превышения бюджета и срыва сроков нельзя совсем исключить при реализация сложного интеграционного проекта, затрагивающего большое количество информационных систем и подразделений организации, но в данном случае объем проекта можно точно оценить на этапе планирования, а значит, в общем случае эти риски можно отнести к маловероятным.

Во-вторых, организация, использующая новые технологии впервые, не может в полной мере понять все нюансы, возникающие при работе с данной технологией в продуктивной среде с реальными задачами. Причина этого заключается в том, что значение многих обстоятельств и их влияние на работу организации могут быть оценены неправильно или совсем не приниматься в расчет. В результате очень часто возникает необходимость внесения изменений в новую информационную систему сразу после ее перевода в промышленную эксплуатацию, даже если она отвечает всем формальным требованиям, сформулированным до старта проекта. При переводе каждого блока функций создаваемой IdM-системы в промышленную эксплуатацию, объем таких изменений будет минимальным, а у подразделений, напрямую взаимодействующих с IdM, появляется понимание реальных потребностей по ее развитию на последующие этапы.

Аналогично, плавный переход к модели Identity Management значительно уменьшает сопротивление изменениям и позволяет преодолеть инертность организации, поскольку количество единовременно проводимых организационных изменений невелико и, определяя набор функций, реализуемых на каждом этапе, мы сами можем на него влиять.

Поэтапное внедрение увеличивает суммарную длительность проекта, но если в случае реализации всех функций в рамках единого проекта возможность работы с IdM-систе-мой появляется только по его завершении, то при поэтапном подходе возможность использования Identity Management появляется уже по завершении первого этапа, а значит, отдача от системы и возврат средств происходят быстрее.

Конечно, создание комплексного решения Identity Management связано с достаточно серьезными проектными рисками. Но, как мы видим, ими вполне можно управлять, если подходить к планированию и организации внедрения с учетом специфики IdM. Именно поэтому для успешного завершения проектов этого направления принципиальное значение имеет опыт исполнителя.